2000P's Blog

最初のページ

xecure lab:南韓大粒ソウル特別市大規模apt攻撃事件

著者 puzio 時間 2020-03-24
all

先週、資安界で大きな事件が発生しました。韓国はAPTに大規模な攻撃を受けました。DarkSeoul大粒ソウル特別市事件とも言われています。規模の大きさも未曾有で、物語全体は各界の鏡を借りる価値があります。各大手メディアとメーカーは口砲を出しています。俗っぽくて、私達も口を寄せてあげます。)

まず、3/20の出来事を思い出してみてください。(GD/Chroot整理に感謝します。)

農業協商銀行:30支店で2000台のコンピュータが被害を受け、カウンター業務が停止し、ATMの半分が停止しました。新韓銀行:57支店の被害は全資材庫で停止し、全サービスは2時間停止しました。決済カードは済州銀行を使えません。テレビ:800コンピュータの被害、半分の従業員は停止して、外部の切れた源は線を切ってすべてペンのニュースの作業YTNテレビ:500コンピュータの被害、テレビ放送は正常で、ニュースシステムはLG ULTS ISPを停止します:内部のコンピュータは破壊されて、ウェブサイトは取り替えられます

この3つの銀行はほとんど韓国の前の3大銀行で、事件が発生したばかりでなく、韓国の国家軍のINFOCONも4から3に引き上げられました。

Xecure Labはこの事件の悪意あるサンプルに対していくつかの研究と検討を行いました。まず声明します。我々は調査に参加していません。すべての情報とサンプルをできるだけネットから整理し、さらに自分たちの分析製品XecRayを使ってサンプルを分析します。今回の資料は私達もHITCON(台湾ハッカー年会)が一昨日開催した韓国資本安事件座談会で発表しました。

[広告挿入放送]

XecRayはXecure Labのセットで開発されたAPT攻撃の自動化識別と分析ツールであり、以下の報告はXecRayによって行われます。

以下の情報は、悪意のあるサンプルによって識別結果がまとめられています。これらのreleaseサンプルが、いくつかの部分的な物語を教えてくれることを望んでいます。

注意:一部の論点は有限情報についての推論です。すべての事実を代表しないで、参考にしてください。

今回の事件に関する情報とサンプルが非常に少なく公開されています。一つは韓国の友達が忙しくて、完全な報告がまだ出ていません。時間をかけて整理してから、鑑識分析を経て、関連のプログラムが10個あることを確認します。

最初はK 01~K 04のサンプルが発表されましたが、ミラはK 05とK 06の両方を発表しました。大粒のソウル特別市の悪意あるプログラムにはいくつかの特徴があります。この事件と直接関係があると認められています。

APT攻撃では、デトックス軟体が最初に倒れました。

悪意のプログラムさえ持ってきて、ハッカーの一番のお気に入りとなります。

いくつかのプログラムで見られます。ハッカーは2013-03-20(14:00~15:00)を攻撃発作時間としています。このプログラムの特徴はこの事件と直接関係があると認められています。

K 07サンプルを実行すると、DRopはHtmlで、プログラムコードには「Hacked By Whois Team」があります。韓国の3/20攻撃で、LG ULG ULTSというISPも攻撃されており、またホームページが変更されました。

XecRayによる自動分析の結果、K 07には「Hacked By Whois Team」という特徴があり、Disk Wipe破壊機能が疑われています。ですから、K 07はこの事件と直接関係があると思います。

(Reference http:/www.f-secure.com/weblog/archives/00002531.

K 08は一部のブログでAPTの悪意のある手紙と関係があると言われていますが、このような言い方はちょっと無理だと思います。せいぜいファイル名で「新韓銀行」を使っています。今回の攻撃に使うファイルだという直接的な証拠はありません。そしてこのRARはテロリストが民衆に送るのか、それとも銀行内部の人に送るのかは分かりません。また、K 08は前にDarkSeoulの特徴を述べていません。逆に一般的なCrimewereやBank Trojanのようです。もちろん、現在公開されている情報について分析し、より多くの証拠が期待されます。

(正直に言えば、私たちもAPTの悪意のあるメール検査システムを販売しています。今回の事件はAPTメールと関係があると言いたいですが、今は証拠が足りないです。)

K 10は最も検討されているサンプルで、K 01サンプルの強化版のようです。Disk Wiperプログラムサポート以外に、Unixホスト資料の破壊能力を備えています。tempの下でdropができます。

持参のputtyとscpを通してscriptをunix/linuxホストコンピュータの下に置いて実行します。これは本当に素晴らしいXDです。

K 10の中にいくつかの情報が作者と関係があるかもしれません。E:\\u_O_\u\work\AutoServer Craser\Release\AutoServer Craser.pdbはプログラムコードが作者のコンピュータにあるfile pathを暗示しています。このカタログはdouble byte(英語以外の国)かもしれません。

これらのサンプルをXecure Labで整理しました。MalwareのPE TimeStarpで時間軸を画すと、いくつかの興味深い事実が見られます。

K 01~K 04は今回の事件の中で最もよく大網駅で検討されているサンプルです。PE Build Timeは2013:01:31です。

K 06とK 05のサンプルはDarkSeoulと直接関係していませんが、プログラムbinaryの構造はK 01~K 04と非常に似ていますので、ケースは同じかもしれませんが、payloadは違っています。K 06とK 05はDisk Wiperではなく、Downloaderです。ちなみに、K 06の発見時間は昨年の2012-08-30で、当時のランク名はjarucachexxxxxt.tmpで、時間と枠名はヒントを与えて、去年のJava Exploidが大流行した時に、このmalwareはすでに配置されました!?(これは私の推測です。)

大粒のソウル特別市(DarkSeoul)事件のサンプルを研究した後、弟はいくつかの収穫があります。

韓国側にはもっと多くの調査報告があることを期待しています。本当の国家レベルのAPT攻撃の全貌をよく調べてみましょう。

新世代戦争が始まった!

でもポイントは、もう誰かに殴られました。

Birdman,Benson

Xecure Lab

-----長官:このようなAPT規模の攻撃が台湾で起こったら、私たちはどうなりますか?長官を安心させてください

----HITCON 2013、7/19~20、口砲へようこそ!http:/hitooton.org/2013/